概要・まとめ
今回は「監査ポリシー」を紹介します。監査ポリシーを使うと、誰がレジストリを変更したのかがわかるようになります。
追加ソフトのインストールが必要ないので、本番環境のトラブルシューティングに便利です。

内容
「監査ポリシー」を用いて、誰がレジストリを変更したのかを調べる方法を紹介します。
以下の順番で紹介します。
1. “ローカル セキュリティ ポリシー” の設定
2. レジストリの設定
3. レジストリの変更を実行
4. 監査でレジストリの変更の確認

1. “ローカル セキュリティ ポリシー” の設定
1.1. “ローカル セキュリティ ポリシー (= secpol.msc) ” を起動します。


1.2. “監査ポリシーの詳細な構成” → “システム監査ポリシー” → ”オブジェクト アクセス” → “レジストリの監査” をダブルクリックします。


1.3. “次の監査イベントを構成する” にチェックを入れます。
今回は”成功”、”失敗” ともにチェックを入れました。

2. レジストリの設定
2.1. “レジストリー エディター (= regedit.exe)” を起動します。

2.2. 変更を監視したいレジストリのキーを右クリックし”アクセス許可” をクリックします。


2.3. “詳細設定” をクリックします。


2.4. “監査” タブに移動し、”追加” をクリックします。


2.5. “プリンシパルの選択” をクリックします。


2.6. “選択するオブジェクト名を入力してください” に”Everyone” と入力します。

Everyone の代わりにユーザー名やグループ名を入力することもできます。
その際は、その入力したユーザー・グループからの変更のみを監視します。

2.6. “種類” と “適用先” を選びます。
ここではそれぞれ、”すべて” と”このキーとサブキー” を選択しました。


2.7. “高度なアクセス許可を表示する” をクリックします。


2.8. “高度なアクセス許可”を選択します。
ここでは、レジストリキーの削除を監視するため、”削除” をクリックしました。


2.8. “OK” を押していき、レジストリエディターを終了させます。

3. レジストリの変更を実行
3.1. レジストリの変更を実行します。
ここでは、”eight” ユーザーが”MyAuditTest.exe” を実行することにより、監査を実行している”HKLM\SOFTWARE\TestKey” を削除しました。

4. 監査でレジストリの変更の確認
4.1. “イベント ビューアー (= eventvwr.msc)” を起動します。

4.2. “Windows ログ” の”セキュリティ” をクリックします。


4.3. “Microsoft Windows security auditing” の イベントID “4660” が出ます。
結果、”eight” ユーザーが”MyAuditTest.exe” を実行し、レジストリを削除したことがわかります。

URL
・How can I figure out which user modified a file? (英語)
今回は、レジストリの変更に対しての監査ポリシーを紹介しましたが、ほぼ同様の方法でファイルの変更に対しても監査ポリシーが実行可能です。
http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx